Dopo Ransomware2.0, il malware razzista di cui si è discusso a metà mese, KeRnSoMwArE è il secondo esempio di ransomware in fase di sviluppo rilevato a febbraio dai ricercatori Malware Hunter Team e prontamente condiviso da JamesWT_MHT con il CERT-AGID. È abbastanza evidente che il sample individuato è ancora in fase test ma dispone già […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 30 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Negli articoli precedenti abbiamo analizzato le componenti di Ursnif che sono eseguite sulla macchina della vittima. Per questo malware è possibile fare altrettanto facilmente un’analisi del C2, vedremo infatti come alcune vulnerabilità dell’infrastruttura e software del server ci permettano di ottenere varie informazioni. In questo articolo vedremo la console di amministrazione che gli autori di […]

Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 5 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 288 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]

Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]

Si è autobattezzato Ransomware2.0 (versione 1.0.0) ma a parte il fatto di essere razzista contro i napoletani, di nuovo ha ben poco. Il CERT-AGID ne è venuto a conoscenza grazie al contributo dei ricercatori di Malware Hunter Team che hanno rilevato il sample in data odierna. Il malware è scritto in .NET e il codice […]

Un breve PDF tecnico che analizza il codice di Android alla scoperta di come SELinux e altre funzionalità Linux siano usate per isolare le app e contenere le conseguenze di vulnerabilità Local Privilege Escalation. Scarica il PDF.

Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un […]

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 3 generiche veicolate anche in Italia e 32 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 774 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai […]